21 Haziran 2019 tarihli Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik, kişisel sağlık verilerine erişim, kişisel sağlık verilerinin gizlenmesi, düzeltilmesi, aktarılması ve imha edilmesi ile veri güvenliğinin sağlanması hususlarına ilişkin kapsamlı ve koruyucu düzenlemeler getirmiştir. Yönetmeliğin yürürlüğe girmesi ile Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik yürürlükten kaldırılmıştır.

Yürürlüğe giren yönetmelik ile Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”) ile ikincil mevzuatta daha önce yer verilmeyen açık veri, açık sağlık verisi tanımlarına yer verilmiştir. Açık veri, ücretsiz olarak veya hazırlanma maliyetine geçmeyecek şekilde herkesin erişimine açılan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen, diğer sistemlerle birlikte çalışabilen anonimleşmiş veriyi ifade eder. Açık sağlık verisi ise, açık veri haline getirilen sağlık verisi olarak tanımlanmıştır.

Yönetmelik, kişilerin sağlık verilerinin işlenmesinde genel ilkeler getirmektedir. Bu ilkelerden bizce en önemlilerden biri ise, kişilerin sağlık hizmeti desteği alması için gerekli olan haller haricinde, geçmiş sağlık verilerinin dökümünü sunmaya, göstermeye zorlanamamasıdır. Bu ilke, Anayasa tarafından koruma altına alınmış temel hak ve özgürlüklerinden kişinin yaşama hakkı, maddi ve manevi varlığı; kişinin hürriyeti ve özünün dokunulmazlığı ilkeleri ile uyumluluk içerisindedir.

Yönetmelikte yer alan diğer ilkelerden biri ise, sağlık hizmetleri temini sırasında, yetkisiz kişiler veya başka sağlık hizmeti alan kişiler tarafından ilgili kişinin sağlık verilerini öğrenmesini engellemek amacıyla gerekli teknik, idari ve fiziki tedbirlerin alınmasını şart koşmaktadır.

Genel ilkeler altında yer alan bir diğer önemli düzenleme ise, sağlık hizmeti sunucularının tahlil, tetkik gibi kişisel sağlık verilerinin basılı kopyalarında, kimliksizleştirme, maskeleme gibi tedbirler alınmasını zorunlu kılmaktadır. Böylece bu veriler, yetkisiz kişilerin eline geçse bile, ilgili kişi ile ilişkilendirilmesi zorlaşmış olacaktır.

Sağlık personelinin kişilerin sağlık verilerine erişimi:

Yönetmelik, sağlık personelinin sağlık verilerine erişimini belli kurallara bağlamaktadır.

Temel kural; ilgili kişinin sağlık verilerine sağlık personeli ancak sunacağı hizmet çerçevesinde erişebileceğidir.

– E-nabız sistemini kullanan kişiler, sistemde erişim ayarlarını kendileri belirleyebilir. Böylece geçmiş sağlık verilerinin sağlık personeli tarafından erişimini tamamen kısıtlanması mümkündür. Bu gizlilik tercihini kullanan kişilerin, sağlık hizmeti aldığı hekime geçmiş sağlık verilerini temin edebilmesi için sistemde beyan ettikleri cep telefonlarına gönderilecek kodun hekimle paylaşması gerekmektedir. Böylece hekim tarafından sisteme erişilmesi halinde mümkün olacaktır. Önemli bir diğer husus da; Sağlık Bakanlığı’nın, sağlık hizmeti temin sırasında sağlık verilerini gizlemiş kişinin bu verileri gizlemesi nedeniyle sunulan sağlık hizmetinden doğan aksaklıklardan veya zararlardan sorumlu tutulamayacağıdır.

– E-nabız sisteminde hesabı bulunmayan kişiler bakımından ise kişilerin sağlık verilerine KVKK m 6/f.3’te yer alan istisnai amaçlarla sınırlı olmak üzere (KVKK m 6/3: sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.)

  • Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre ile sınırlı olmadan,
  • Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
  • Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından 24 saat süre ile sınırlı olmak kaydıyla,
  • Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından hasta sağlık hizmeti sunucusundan taburcu olana kadar,

erişim sağlanabilir. Mahremiyet düzeyi çok daha yüksek olan, başkaları tarafından öğrenilmesi kişinin ruh ve sosyal hayatını olumsuz yönde etkileme riski taşıyan kişisel veriler, Sağlık Bakanlığı tarafından belirlenir ve sağlık personeline bu verilere erişiminde kısıtlamalar getirilebilir.

Çocukların sağlık verilerine ebeveynleri tarafından erişimi:

Dikkat çekici bir diğer düzenleme ise, ebeveynler çocuklarına ilişkin sağlık kayıtlarına e-nabız sistemi üzerinden, herhangi bir onaya ihtiyaç duyulmaksızın ulaşabilirler. Bu düzenlemedeki önemli husus ise ayırt etme gücüne sahip çocukların durumudur. Ayırt etme gücüne sahip çocuklar, e-nabız sistemi üzerinden kendi sağlık geçmişlerine ilişkin kayıtlara ebeveynlerinin erişimini, izne tabi tutabilirler. Anne ve babanın boşanmış olması halinde, velayet hakkı olmayan taraf, KVKK’ya uygun olarak çocuk ve velisinin faydası gözetilmek suretiyle belirlenen sınırlar dahilinde çocuğa ilişkin sağlık verilerine ulaşabilir.

Avukatların müvekkillerinin sağlık verilerine erişimi:

Avukatların müvekkillerinin sağlık verilerine erişim sağlayabilmeleri için vekaletnamede müvekkilin özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin açık rıza gösteren özel bir hükmün yer alması gerekir.

Ölmüş bir kimsenin sağlık verilerine erişimi:

Ölmüş bir kimsenin sağlık verilerine ise, mirasçılardan her biri mirasçılık belgesini ibraz etmek suretiyle erişim sağlayabilir.